Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Подскажите в чем косяк PF

    Scheduled Pinned Locked Moved Russian
    30 Posts 6 Posters 9.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      ar2r
      last edited by

      @dvserg:

      @Tamriel:

      @ar2r:

      И еще вопрос если я хочу заблокировать определенные адреса
      то должен ли я повесить блокирующие правила еще и на LAN?

      Нужно ставить.

      Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

      Спасибо.
      Но как быть с
      pass out route-to ( em1 85.142.127.33 ) from 85.142.127.61 to !85.142.127.32/27 keep state allow-opts label "let out anything from firewall host itself"
      не понял :(

      Скинул все правила на дефолтовые
      прописал только lan wan
      смотрю rules.debug опять эта строчка висит
      что за бред

      1 Reply Last reply Reply Quote 0
      • A
        ar2r
        last edited by

        Эта срока которая все открывает появляется если прописать гатвай.
        Чтотя я не чего не понимаю. В BSD гатвай был прописан в rc.conf
          route-to для работы в pf.conf не требовалось

        GW.jpg
        GW.jpg_thumb

        1 Reply Last reply Reply Quote 0
        • A
          ar2r
          last edited by

          В виртуалке поднял чистую систему
          Всеравно не блокирует  адреса из алиасаов(

          Rules-Wan.jpg
          Rules-Wan.jpg_thumb

          1 Reply Last reply Reply Quote 0
          • G
            goliy
            last edited by

            не тот порядок.
            Применяется ПЕРВОЕ ПОДХОДЯЩЕЕ ПРАВИЛО.
            В твоем случае, на ЛАНе, сначало всем все разрешается, и все везде пускаются, соответственно.
            Нужно:оставить в покое ВАН. Можно там Все в обе стороны смело блокировать, если нет внешнего ИПа(или не нужен на него доступ)
            на ЛАНе:создать единственное правило * My_allow * * * * none
            И все. все остальные будут заблочены по умолчанию.

            ??????????.png
            ??????????.png_thumb

            2.0.2-RELEASE (i386)
            Intel(R) Atom(TM) CPU 330 @ 1.60GHz
            eth: Intel 82574L
            DOM sata, 1Gb
            over 150 users

            1 Reply Last reply Reply Quote 0
            • N
              NegoroX
              last edited by

              правила применяютсся сверху вниз у тебя сначала все разрешено, а потом какие то запреты до которых и дело никогда не дойдет.

              1 Reply Last reply Reply Quote 0
              • D
                dvserg
                last edited by

                Пусть сначала четко опишет задачу, я никак не вычитаю в топе кроме блокирования нескольких сот адресов. Какие адреса (клиенты или внешние узлы) ?

                SquidGuardDoc EN  RU Tutorial
                Localization ru_PFSense

                1 Reply Last reply Reply Quote 0
                • A
                  ar2r
                  last edited by

                  У меня есть список с адресами на которые я должен запретить доступ как наружи так и изнутри
                  тоесть чтобы из локалки нельзя было попасть на эти адреса

                  В разрешающем правиле другой список адресов которому все всегда разрешено.

                  1 Reply Last reply Reply Quote 0
                  • A
                    ar2r
                    last edited by

                    Это роутер у которого есть внешний IP. За ним локалка.

                    1 Reply Last reply Reply Quote 0
                    • G
                      goliy
                      last edited by

                      правило на ЛАНе:
                      allow * этим_парням_все_везде_можно * * * * none
                      block * этим_парням_нельзя_кое-куда * а_именно_сюда * * none
                      allow * этим_парням_нельзя_кое-куда * * * * none - означает,что кроме предыдущего правила им везде можно

                      правило на ВАНе:
                      allow TCP * * WAN_address 22 * - можно отовсюду коннектица на Внешний ИП на стандартный порт по ссш
                      allow TCP * * WAN_address 80 * - можно отовсюду коннектица на Внешний ИП на стандартный порт http на веб-интефейс
                      allow ICMP * * WAN address * * - выбираем ICMP type "echo" и все могут пинговать твой Внешний ИП(и он будет отвечать)
                      block * * * * * * - ничего ломится на мой внешний ИП всем остальным

                      2.0.2-RELEASE (i386)
                      Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                      eth: Intel 82574L
                      DOM sata, 1Gb
                      over 150 users

                      1 Reply Last reply Reply Quote 0
                      • A
                        ar2r
                        last edited by

                        На Wan вообще ничего не прописывать?

                        1 Reply Last reply Reply Quote 0
                        • G
                          goliy
                          last edited by

                          @ar2r:

                          На Wan вообще ничего не прописывать?

                          То что будет на ВАНе касается только того, кто сидит за ВАНом, а не твою локалку. Т.е. если у тебя есть веб-сервак в локалке - то нужно настроить проброс портов на этот сервак, а потом разрешить правило на ване. стандарный функционал я уже описал в предыдущем сообщении. Если ничего дополнительного не стоит, то кроме пинга и вэб-морды, желательно на нестандартном(у меня вот на 65534м) https порту, тебе ничего больше не нужно

                          2.0.2-RELEASE (i386)
                          Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                          eth: Intel 82574L
                          DOM sata, 1Gb
                          over 150 users

                          1 Reply Last reply Reply Quote 0
                          • D
                            dvserg
                            last edited by

                            На LAN у меня последнее правило показано неактивным - нужно чтобы было активным чтобы остальные могли работать.
                            По желанию перед DNS добавить разрешение для протокола ICMP, чтобы пинги ходили наружу.

                            1.png
                            1.png_thumb
                            2.png
                            2.png_thumb

                            SquidGuardDoc EN  RU Tutorial
                            Localization ru_PFSense

                            1 Reply Last reply Reply Quote 0
                            • G
                              goliy
                              last edited by

                              красиво выглядит!
                              только локалка не сможет пинговать интернет -)
                              для Allow же просто можно разрешить по всем протоколам.

                              2.0.2-RELEASE (i386)
                              Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                              eth: Intel 82574L
                              DOM sata, 1Gb
                              over 150 users

                              1 Reply Last reply Reply Quote 0
                              • D
                                dvserg
                                last edited by

                                @goliy:

                                красиво выглядит!
                                только локалка не сможет пинговать интернет -)
                                для Allow же просто можно разрешить по всем протоколам.

                                По быстрому в виртуалке накидал.

                                SquidGuardDoc EN  RU Tutorial
                                Localization ru_PFSense

                                1 Reply Last reply Reply Quote 0
                                • A
                                  ar2r
                                  last edited by

                                  @dvserg:

                                  @goliy:

                                  красиво выглядит!
                                  только локалка не сможет пинговать интернет -)
                                  для Allow же просто можно разрешить по всем протоколам.

                                  По быстрому в виртуалке накидал.

                                  Но с самого роутера пинг идет.
                                  В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
                                  И там правила на внешнем интерфейсе применяются

                                  1 Reply Last reply Reply Quote 0
                                  • G
                                    goliy
                                    last edited by

                                    @ar2r:

                                    Но с самого роутера пинг идет.
                                    В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
                                    И там правила на внешнем интерфейсе применяются

                                    потому что это НЕ iptables. И правила работают тут Иначе. На мой взгляд гораздо более понятно интуитивно и выглядят и работают. Как? написано в куче манов как по pfsense так и по packet filter'y непосредственно.
                                    На вкус и цвет товарищей мало.

                                    2.0.2-RELEASE (i386)
                                    Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                                    eth: Intel 82574L
                                    DOM sata, 1Gb
                                    over 150 users

                                    1 Reply Last reply Reply Quote 0
                                    • D
                                      dvserg
                                      last edited by

                                      @ar2r:

                                      Но с самого роутера пинг идет.
                                      В iptables делаешь denied на интерфейс с указанием ареса и все режется почему тут не так ?
                                      И там правила на внешнем интерфейсе применяются

                                      Здесь все дело в конфигурации. В pfSense прописаны общие разрешающие правила на исходящие с интерфейса (из pfSense) пакеты и общие запрещающие правила на входящие в интерфейс пакеты. На месте pf с успехом мог бы оказаться iptables. Идеология такова, что управление трафиком происходит на том интерфейсе, на котором он входит в роутер.

                                      SquidGuardDoc EN  RU Tutorial
                                      Localization ru_PFSense

                                      1 Reply Last reply Reply Quote 0
                                      • A
                                        ar2r
                                        last edited by

                                        Сделал как Вы предложили.
                                        К сожалению это не сработало  изнутри сети я все ровно
                                        вижу адреса из таблицы MY_block

                                        Еще вы писали:
                                        И еще вопрос если я хочу заблокировать определенные адреса
                                        то должен ли я повесить блокирующие правила еще и на LAN?

                                        Нужно ставить.
                                        Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

                                        Rules-Wan2.jpg
                                        Rules-Wan2.jpg_thumb

                                        1 Reply Last reply Reply Quote 0
                                        • A
                                          ar2r
                                          last edited by

                                          Сори все понял порядок правил
                                          LAN net вниз теперь работает.

                                          @ar2r:

                                          Сделал как Вы предложили.
                                          К сожалению это не сработало  изнутри сети я все ровно
                                          вижу адреса из таблицы MY_block

                                          Еще вы писали:
                                          И еще вопрос если я хочу заблокировать определенные адреса
                                          то должен ли я повесить блокирующие правила еще и на LAN?

                                          Нужно ставить.
                                          Обычно блокируется на том интерфейсе, на котором они подключены физически. Исключение если бридж.

                                          1 Reply Last reply Reply Quote 0
                                          • G
                                            goliy
                                            last edited by

                                            Как ты не видишь чтоли, что твое 2ое правило разрешает ВСЕ!
                                            Поменяй местами последнее и предпоследнее

                                            2.0.2-RELEASE (i386)
                                            Intel(R) Atom(TM) CPU 330 @ 1.60GHz
                                            eth: Intel 82574L
                                            DOM sata, 1Gb
                                            over 150 users

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.